Samas, Cerber, Surprise : trois nouvelles variantes de ransomware à placer sur votre radar

Ces derniers temps, la couverture des ransomware par la presse a suscité une sorte de notoriété de marque qui fait envie à de nombreux fournisseurs informatiques légitimes. Le succès des...
Carl Groves
6 minute de lecture
Dernière mise à jour 13 octobre 2023

Ces derniers temps, la couverture des ransomware par la presse a suscité une sorte de notoriété de marque qui fait envie à de nombreux fournisseurs informatiques légitimes. Le succès des ransomware a compliqué la reconnaissance des différentes variantes à évolution rapide : différences dans la manière de contracter l’infection, nature des données chiffrées, montant de la rançon et nouvelles fonctionnalités spéciales.

Cependant, leur point commun est que le ransomware est devenu une activité très profitable pour les cybercriminels.

Par exemple, on signale que Locky (celui qui chiffre les données sur les disques locaux et les partages réseau non mappés) infiltre actuellement 90 000 systèmes par jour et demande environ 400 $ US par rançon. Si 25 % des victimes paient, les auteurs de Locky gagneraient en théorie presque 10 millions de dollars par jour ! Un vrai jackpot !

De plus, le chercheur en sécurité Jerome Segura a vu des attaquants ransomware effectuer une reconnaissance plus approfondie des victimes (telle que l’identification de l’utilisateur) pour déterminer s’ils peuvent exiger une rançon plus élevée1. Leçon : les études de marché s’avèrent également utiles dans le secteur d’activité des malware.

Il y a plusieurs choses à faire si la prévention vous intéresse. D’abord, disposer de sauvegardes récentes de vos données. Avec des sauvegardes, ce qui a été chiffré n’a aucune valeur.

Vous pouvez aussi en savoir plus sur la manière dont l’analyse du comportement des utilisateurs peut arrêter des attaques ransomware zero-day. Lawrence Abrams, expert en sécurité et fondateur de Bleeping Computer, a écrit dans un récent article que « la détection de comportement devient la meilleure manière de détecter et d’arrêter les ransomware étant donné que la détection de signatures est devenue facile à contourner ».

Et si vous voulez plus de conseils, cliquez sur notre guide des ransomware et lisez la section relative à l’atténuation.

Au fait, si vous êtes un client Varonis DatAlert, ouvrez une session Connect et lisez le Ransomware Detection Guide: How to Detect, Arrest, Identify and Clean.

Entre-temps, voici les plus récentes variantes de ransomware que vous devez avoir sur votre radar aux fins de prévention et d’atténuation :

  • Samas : chiffre le réseau d’une entreprise dans son intégralité
  • Cerber : un ransomware en mode SaaS qui chiffre un nombre énorme de types de fichiers
  • Surprise : infecte les utilisateurs de TeamViewer v10.0.47484

Samas

  • Montant de la rançon : testant actuellement le marché, les pirates demandent une rançon d’un à 1,7 bitcoin. Ou pour une véritable « affaire », les entreprises victimes peuvent acheter en gros et déchiffrer tous leurs systèmes infectés simultanément pour 22 bitcoins (environ 9 160 $).2
  • Algorithme de chiffrement : chiffrement RSA 2048 bits3
  • Mode d’infection : commence par un test de pénétration sur votre serveur et cherche les réseaux potentiellement vulnérables à exploiter4
  • Types de fichiers ciblés : Samas tente de chiffrer le réseau d’une entreprise dans son intégralité
  • Cliquez ici pour plus d’informations.

Cerber

  • Montant de la rançon : 1,24 bitcoin, soit environ 500 $ US5
  • Algorithme de chiffrement : AES-2566
  • Mode d’infection : actuellement, les chercheurs ne sont pas sûrs de son mode de distribution, mais il est offert sous forme de ransomware en mode SaaS. Les affiliés distribuent le ransomware, ce qui permet aux auteurs de Cerber de gagner une commission sur chaque paiement de rançon. Cependant, il n’attaque pas votre ordinateur si vous vivez dans un des pays suivants : Arménie, Azerbaïdjan, Biélorussie, Géorgie, Kazakhstan, Kirghizstan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan et Ukraine. Coïncidence7 ? Après chiffrement de vos informations, vous recevez trois fichiers (TXT, HTML et VBS) pour vous informer de l’action menée. Ces fichiers convertissent le texte de la rançon en message audio. Et comme dans un mauvais film, une voix robotique monotone vous dit « Attention. Attention. Attention. Vos documents, photos, bases de données et autres fichiers importants ont été chiffrés ! »
  • Cliquez ici pour plus d’informations.
  • Types de fichiers ciblés : .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv 8

Surprise

  • Montant de la rançon : de 0,5 BTC à 25 BTC9. S’il frappe le réseau d’une entreprise composé de nombreuses machines, la rançon sera beaucoup plus élevée que pour un seul PC.
  • Algorithme de chiffrement : un mélange de RSA-2048 et AES-25610
  • Mode d’infection : pénètre via TeamViewer, une plateforme d’accès distant qui compte plus d’un milliard d’utilisateurs et permet à ses clients de recevoir une assistance technique, d’organiser des réunions et d’interagir avec leurs partenaires11. Il a infecté les utilisateurs ayant installé TeamViewer v10.0.47484. Comme dans le cas de Ransom32, vous recevez une « preuve de vie » dans laquelle un de vos fichiers est déchiffré gratuitement. L’attaquant prouve à ses victimes que leurs fichiers peuvent être déchiffrés après le paiement de la rançon.
  • Cliquez ici pour plus d’informations.
  • Types de fichiers ciblés : .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .rar

Il existe de nombreuses variantes de ransomware qui apparaissent régulièrement mais il y a de fortes probabilités que vous soyez ciblés à court terme par l’un de ceux que nous venons de passer en revue. Soyez vigilants et n’hésitez pas à prendre les mesures nécessaires pour vous prémunir.

1 http://www.scmagazine.com/dark-web-forums-found-offering-cerber-ransomware-as-a-service/article/483101/
2 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
3 http://www.scmagazine.com/researchers-detect-surge-in-samsam-ransomware-that-spreads-via-vulnerabilities/article/485330/
4 https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/
5 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
6 http://www.pcworld.com/article/3040750/cerber-ransomware-sold-as-a-service-speaks-to-victims.html
7 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
8 http://www.bleepingcomputer.com/news/security/the-cerber-ransomware-not-only-encrypts-your-data-but-also-speaks-to-you/
9 http://privacy-pc.com/news/hackers-use-teamviewer.html
10 http://privacy-pc.com/news/hackers-use-teamviewer.html
11 http://privacy-pc.com/news/hackers-use-teamviewer.html

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

ransomware-cerber-:-ce-que-vous-devez-savoir
Ransomware Cerber : ce que vous devez savoir
Qu’est-ce que Cerber ? Le ransomware Cerber est un ransomware-as-a-service (RaaS), c’est-à-dire que le hacker en diffuse des licences sur Internet et partage la rançon avec le développeur. Moyennant 40 % du montant...
guide-sur-le-ransomware-netwalker :-tout-ce-qu’il-vous-faut-savoir
Guide sur le ransomware Netwalker : tout ce qu’il vous faut savoir
Emotet, Trickbot, Maze, Ryuk et maintenant Netwalker, le cybercrime s’est développé de manière exponentielle au cours de l’année passée. Les ransomwares ont touché des entreprises de toutes tailles et de tous les secteurs, privées...
le-guide-pour-tout-savoir-sur-le-ransomware-:-types-et-définitions-des-attaques-de-ransomware
Le guide pour tout savoir sur le ransomware : types et définitions des attaques de ransomware
Les attaques de ransomware peuvent entraîner une perte significative de données, de fonctionnalité du système et de ressources financières. Mais qu’est-ce qu’un ransomware exactement ? Le ransomware peut prendre différentes formes,...
rapport-sur-les-tendances-des-malwares-–-mars-2021
Rapport sur les tendances des malwares – Mars 2021
Ce rapport mensuel reprend la documentation établie par l’équipe d’enquête de Varonis dans le cadre de ses activités de réponse aux incidents, d’analyse de problèmes et d’ingénierie inverse de malwares....